情報漏えい事故を起こす企業の特徴は？　ベライゾン報告：NEWS

ベライゾンは2010年に確認した情報漏えい事故に関する報告書を発表。被害を受けた企業の特徴や犯罪者の攻撃手法などを公開した。

≫ 2011年04月20日 19時39分公開

[上口翔子，TechTargetジャパン]

　ベライゾン・ビジネス（以下、ベライゾン）は4月20日、2010年に確認した情報漏えい事故についてまとめた「2011年度データ漏えい／侵害調査報告書」を発表した。ベライゾンは全世界6カ所にセキュリティ管理センターを設置し、情報漏えい対策やPCI DSS策定の評価・監査などを行う企業。日本でも複数社の各種セキュリティコンサルティングを手掛けている。同報告書はベライゾンと米国シークレットサービス（United States Secret Service）が調査したインシデント報告を基に作成した。

ベライゾンシニアコンサルタントフォレンジック調査対応部鵜沢裕一氏

　報告書によると、2010年に全世界で確認した情報漏えい事故の件数は約760件。同事故により流出したデータ数は約400万だった。ベライゾンシニアコンサルタントフォレンジック調査対応部の鵜沢裕一氏はこの結果について「発生件数は報告書の取り扱いを開始した2008年以降で過去最多だったが、流出したデータ数は2009年の1億4400万と比較して大幅に減少した」とコメント。米国の悪質犯罪グループのリーダー格が逮捕されたことや、企業側での対策が進んでいる点が起因としている。

　一方、サイバー攻撃などで漏えいするデータ内容にも変化が見られた。以前は流出しても直接的な被害にはつながらない情報も多く含まれていたが、2010年は機密情報を含むフォルダなどを中心に狙われる傾向があり、少量でも被害は大きかったという。その他2010年の特徴として鵜沢氏は、攻撃手法としてハッキングやマルウェアを用いたサイバー攻撃に加え、ATMやガソリンスタンドでの決済時にクレジットカード番号を盗む物理的な攻撃が見られた（全体の29％を占める）点を挙げた。

　攻撃を受けないためには、基本的なセキュリティ対策が大切であると鵜沢氏は指摘する。興味深い結果として、今回被害を受けた企業のPCI DSS準拠率が11％だったという数値がある。PCI DSSはクレジットカード情報の取り扱いに関する情報セキュリティ基準だが、一般企業向けにもセキュリティ対策を考案・実施するうえで十分有効に働く。

一般企業向けにも現実的になったPCI DSS

カード業者じゃなくてもセキュリティに効く？　一般企業にとってのPCI DSS

　以下、PCI SSCで義務付けている12の要件である。

PCI DSSが定める12の要求事項
目的	セキュリティ要件
安全なネットワークの構築・維持	要件1：カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること要件2：システムパスワードとほかのセキュリティパラメータにベンダー提供のデフォルトを使用しないこと
カード会員データの保護	要件3：保存されたカード会員データを安全に保護すること要件4：公衆ネットワーク上でカード会員データを送信する場合、暗号化すること
脆弱性を管理するプログラムの整備	要件5：アンチウイルスソフトウェアを利用し、定期的に更新すること要件6：安全性の高いシステムとアプリケーションを開発し、保守すること
強固なアクセス制御手法の導入	要件7：カード会員データへのアクセスを業務上の必要範囲内に制限すること要件8：コンピュータにアクセスする利用者ごとに個別のIDを割り当てること要件9：カード会員データへの物理的アクセスを制限すること
定期的なネットワークの監視およびテスト	要件10：ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること要件11：セキュリティシステムおよび管理手順を定期的にテストすること
情報セキュリティポリシーの整備	要件12：情報セキュリティに関するポリシーを整備すること

　今回被害が発覚した企業の70％がデフォルトのID／パスワードで運用しているなど、基本的な対策が取られていなかった（PCI DSSでは要件2に該当）。また、ベライゾンの顧客の中にもウイルス対策製品を最新版にアップデートしていないなど、特に中堅・中小企業にそうした運用の不備が見られるという。鵜沢氏はそうした基本事項の見直しを行うとともに、「そもそもユーザーの個人情報やクレジットカード情報を保管しておく必要があるのか、“あると便利”程度のものは安全な場所に保管する、またはビジネス上必要でないのなら削除するなどの対策を徹底すべきである」と訴えた。